賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか | ScanNetSecurity
2024.03.28(木)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
PR
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
 2018年1月16日付配信記事「サイバーセキュリティ技術者の『職人技』どこまで標準化できるか」において本誌は、株式会社SHIFT SECURITY の取り組みを紹介しました。

 記事では、同社が脆弱性診断業務の本格的な標準化に挑戦し完成させるまでの、着手から完了までの道のりを時系列に沿って駆け足でレポートしました。

 記事の最後には「この試み(註:脆弱性診断業務の標準化を指す)が正しいかどうかは今後、ユーザー企業と市場によって審判が下される」という一文が置かれました。少々強い言葉遣いは、「脆弱性診断業務標準化」という試みが、単なるサービス向上等にとどまらない、セキュリティサービスの新しいあり方の提案を、ユーザーと市場に対して行っていると取材時に感じたからでした。

●ツール型からハッカー型へ

 脆弱性診断は黎明期、診断ツールを用いて行う「ツール型診断」が主流でした。その後2005年頃から、攻撃者視点を持ちセンスのある技術者(≒ホワイトハッカー)が、ツールを用いながらも目視し、診断員の経験や勘に基づいて手動で診断を行う、いわば「ハッカー型診断」が提案され、市場に浸透していきます。

 ハッカー型診断はその後、脆弱性診断サービスの主流になりました。現在診断業務でトップクラスと呼ばれる企業は、こぞって腕に覚えのある技術者を採用・育成し、ブランドを高め事業を拡大しました。

 ハッカー型診断でサービス水準を左右するのは在席する診断員の技術力です。その技術力を測る尺度として用いられたのが、DEF CON CTF や SECCON などの国内外のハッカー競技や、バグバウンティ、JVN 等への脆弱性報告件数などでした。

●ハッカー型診断ただ一つの欠点

 ハッカー型診断に唯一存在した欠点は人材確保の厳しさでした。スター・ウォーズの「ジェダイ」のような匠の技術者は大量に採用も育成もできないのです。優れたセンスは方法論で伸ばすことができず、即戦力となる人材の採用にはコストがかかります。そのため、前述のトップクラスの診断企業を中心に、ユーザー企業側が診断業務をたとえ発注したくても、待ち行列が長くて発注できないといった、「人」に起因する問題が発生するようになりました。

●職人技能を標準化

 SHIFT SECURITY は、これまでセンスのある職人的技術者の努力によって支えられていた脆弱性診断業務というサービスが持つ「人」に起因する問題を、親会社である株式会社SHIFT が持つ職人的技能を標準化するノウハウにしたがって棚卸を行い仕組み化することで解消し(約半年間かけて行われた仕組み化の過程は前回記事参照)、量産不可能とされてきた診断業務を、あたかもフォード式工場へ変革するように変えることで、適正な価格で、必要充分な高いクオリティのサービスを、均質に大量供給することに挑戦したのでした。

 ここには同時に、顧客は診断サービスに対し「技術力」と同じくらいあるいはそれ以上に「コスト」「納期」「利用したいときにできる利便性」「均質性」などの性能を求めている、という仮説がありました。

●「人が診断するなんて大丈夫?」と言われた時代

 ところで、現在本流となっている「ハッカー型診断」ですが、「ツール型診断」が主流だった時代、登場した当初は、多くのユーザー企業から「人間が診断を行うなんて大丈夫なのか? 抜けや漏れが出ないのか?」と不信を持たれ、決してすぐ受け入れられた訳ではありませんでした。

 長い時間が流れ、技術優位の考え方が浸透した現在の日本の診断サービス市場で、SHIFT SECURITY の標準化されたサービスは、果たしてどのように理解(あるいは誤解)されたのか、前回の取材から半年が経過し、診断員をさらに増員しているという SHIFT SECURITY を訪ね、下記の5つの質問をぶつけてみました。

質問1:標準化された新しい診断サービスのビジネス状況は?

質問2:現在の診断員の人数は?

質問3:標準化された診断サービスを歓迎したのはどんなユーザー企業か?

質問4:標準化された診断サービスへのユーザー企業の反応は?

質問5:診断サービス標準化へのセキュリティ業界の反応は?

  1. 1
  2. 2
  3. 3
  4. 続きを読む

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  9. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る